COSO内部控制

内部控制是衡量现代企业管理的重要标志，通过实践得出的结论是：得控则强，失控则弱，无控则乱。加强和完善企业内部控制制度，已成为当前理论界和实务界最为关注的话题之一。保证财务报告可靠性，防止会计信息失真始终是内部控制的一项重要目标。因此完善企业内部控制制度，保证会计信息的质量，对于完善公司治理结构和信息披露制度，保护投资者的合法权益并保证资本市场的有效运行有着非常重要的意义。

COSO内部控制

COSO内部控制框架不是唯一的内部控制框架, 其他类似框架中最著名的是加

拿大注册会计师公会所属的控制基准委员会COCO，于1995年11月发行《控制指导纲要》。COCO提出了—种更精简、更具动态，使用更多管理术语的内部控制基本架构。COCO报告从四个方面：目的、承诺、能力、监督与学习，提出20项控制基准。

但是COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班斯法案》第404 条款的「最终细则」也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。作为纽约证交所上市的公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。

COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示.

1. 控制环?br> 控制环境是所有其他组成要素的基础，包括了以下要素：

1) 诚信和道德价值观；

2) 致力于提高员工工作能力及促进员工职业发展的承诺；

3) 董事会和审计委员会。包括的因素有董事会与审计委员会与管理者之间的独立性，成员的经验和身份，参与和监督活动的程度，行为的适当性；

4) 管理层的理念和经营风格；

5) 组织结构。包括了定义授权和责任的关键领域以及建立适当的报告流程；

6) 权限及职责分配。经营活动的权限和权责分配以及建立报告关系和授权协议。它包括了：

a) 被激励主动发现问题并解决问题以及被授予权限的程度；

b) 也描述适当的经营实践，关键人员的知识和经验，提供给执行责任的资源政策；

c) 确保所有人理解公司目标。每个人知道他的行为与目标实现的关联和贡献的重要程度。

7) 人力资源政策及程序。

2. 风险评估

首先，风险评估的前提条件是设立目标。只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。设立目标是管理过程重要的一部分。尽管其并非内部控制要素，但它是内部控制得以实施的先决条件。

其次，识别与上述目标相关的风险。

再次，评估上述被识别风险的后果和可能性。一旦确定了主要的风险因素，管理层就可以考虑它们的重要程度，并尽可能将这些风险因素与业务活动联系起来。

最后，针对风险的结果，考虑适当的控制活动。

3. 控制活动

控制活动指为确保管理层指示得以执行，削弱风险的政策（做什么）和程序（如何做）。它们有助于保证采取必要措施来管理风险以实现企业目标。控制活动贯穿于企业的所有层次和部门。它们包括一系列不同的活动，如批准、授权、查证、核对、复核经营业绩、资产保护以及职责分工等。

4. 信息与沟通

相关的信息必须以一种能使人们行使各自职能的形式和时限被识别、掌握和沟通。信息系统不仅处理内部资料，而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。有效的交流还必须广泛的进行，涉及机构的各个方面。所有人员都要从高级管理层获得清楚的信息，他们必须明白各自在内部控制制度中的作用，明白个人的行为如何与他人的工作相联系。他们必须有自下而上传递重要信息的方法。顾客、供应商、监管者和股东这样的外界之间也必须有有效的沟通。

5. 监督

一个评估系统在一定时期运行质量的过程。这一过程通过持续的监控行为、独立的评估或两者的结合来实现。持续的监控行为发生在经营的过程中。它包括日常管理和监管行为。独立评估的范围和频率主要依赖于风险评估和持续监控程序的有效性。内部控制的缺陷应自下而上进行报告，重要事项应报知高层管理人员和董事会。

COSO内部控制模型强调了以下几点：

1、强调“软控制”的功能。相对于以前的内部控制而言，框架更加强调那些属于管理文化层面的软性管理因素。

2、强调内部控制应与企业的经营管理过程相结合。框架认为，经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。内部控制是企业经营管理过程的一部分，与经营过程结合在一起，而不是凌驾于企业的基本活动之上，它使经营达到预期的效果，并监督企业经营过程的持续进行。不过，内部控制只是管理的一种工具，并不能取代管理。

3、突出强调信息系统的作用。框架认为，完备的信息处理系统是实现内部控制目标的重要保障，信息系统不仅处理企业内部产生的经营信息，而且也处理来自企业外部的各类经济、法律或行政信息。

4、明确对内部控制的“责任”。COSO框架第一次明确地阐述了内部控制的制定与实施的责任问题。框架指出，不仅仅是董事会、管理人员、内部审计人员，组织中的每一个人都对内部控制环节负有责任。

5、强调内部控制的分类和目标。目标的设定虽然不是内部控制的组成要素，但却是内部控制的先决条件，也是促成内部控制的要件。框架将内部控制目标分为三类：与营运有关的目标、与财务报告有关的目标以及与法令的遵循性有关的目标等。这样

的分类高度概括了企业控制目标，有利于不同的人从不同的视角关注企业内部控制的不同方面。

6、内部控制只能做到“合理”保证。框架认为：不论设计及执行有多么完善完整，内部控制都只能为管理阶层及股东达成企业经营目标提供合理保证。而目标最终是否达成，还受内部控制本身的限制性制约等条件。

COSO内部控制框架是一个较为理想的框架，几乎所有公司的内部控制均与之有一定差距，虽然这必然加大企业负担，但多数公司希望通过理解和贯彻COSO内部控制框架要求，梳理管理流程、规范管理，来实现提升整体管理水平的目的。

COSO框架下的内部控制设计

以COSO内部控制框架为标准的内控设计一般步骤如下：

1. 确认所要进行的内控设计针对的内控目标是什么。

2. 根据确认的内控目标，识别公司层面的内外部主要风险并进行评估。

3. 通过业务流程的全面梳理，锁定与确认的内控目标相关的业务流程。

4. 按照COSO框架提出的控制标准，对确认的主要风险提出控制要求，将梳理得出的业务流程（风险控制活动）与控制要求进行对比分析，提出整改建议。

5. 对所确定的业务流程进行分析，分析确认业务活动中存在的风险，提出整改建议。

6. 各项制度规章的完善和补充。

下面我们对于风险评估、控制活动具体设计的内容再作进一步的说明：

风险评估实施过程说明

1. 识别风险。风险识别包括了二个层次，企业层面的风险和业务活动的风险。识别风险的具体方法有头脑风暴法、访谈、调查问卷、流程图分析、参考其他的风险数据库、经验与专业判断。

2. 评估上述识别出的风险的后果和可能性。

3. 描述公司流程。

1) 制定公司流程总目录和流程描述的规范；

2) 流程具体描述。

4. 识别与风险相关的应对流程的风险，并建立风险数据库

5. 根据上述风险评估的结果，建立持续的风险评估制度体系

控制活动设计实施说明

1. 以COSO控制框架、公司管理制度、控制理论为依据，在公司层面上确定“关键控制点和控制要点”。

2. 以公司层面“关键控制点和控制要点”为基础，对应识别的重要风险建立关键控制文档。

3. 关键控制与相关管理制度之间的比对分析。

对于企业而言控制是直接融入管理流程中的。在具体控制活动设计和改进时应遵循以下具体内部控制设计原则:

1. 相互牵制原则